Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000082108

Dell VxRail:由於憑證過期,無法登入 vCenter

Summary: VxRail 4.5 和 4.7:由於憑證過期,無法登入 vCenter。必須重新頒發證書。 VxRail 7.0.480 或更新版本:警告憑證將在 60 天內到期,建議提前續訂憑證。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

案例 1:vCenter 憑證已到期。(適用於所有 VxRail 版本)

  • 無法登入 vCenter UI。
  • 當 Web UI 可用時,即使使用正確的登入資料,任何登入嘗試都會失敗。
輸入正確登入資料時登入失敗
  • 重新啟動 VCSA 服務失敗。
  • 重新啟動服務不會啟動所有服務。
看到的錯誤:  
/var/log/vmware/vpxd-svcs/vpxd-svcs.log:
2020-06-03T09:31:04.523Z [pool-8-thread-1  INFO  com.vmware.identity.token.impl.X509TrustChainKeySelector  opId=905f6864-c067-4db6-828c-1d59c4b43bf8] Failed to find trusted path to signing certificate <CN=ssoserverSign>
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)


案例 2:vCenter 憑證將在不到 60 天後到期。(適用於 VxRail 7.0.480 及更新版本)

  • 已完成登入 vCenter UI,但 VxRail 7.0.480 及更新版本在 VxRail Cluster > 設定>「VxRail > 憑證>所有信任存放區憑證」頁面顯示警告,指出憑證將在 60 天內到期。
顯示憑證即將到期的警告訊息

Cause

vCenter 憑證已到期或即將到期。
最初建構於 4.7 之前的 VxRail 版本,核發的憑證壽命為自安裝之日起兩年。在撰寫本文時,以 4.7.410 為基礎的 VxRail 組建具有所有有效期為 10 年的憑證。

次要版本升級不會碰到憑證!
如果是最初建置於 4.5.210 及更新版本的 VxRail,憑證的有效期為兩年。請參閱 VMware 文章在 vCenter Server 上檢查 STS 憑證是否到期 (79248), 此超連結會帶您前往 Dell Technologies 以外的網站。以確認詳細說明。

使用 VCSA 登入頁面瀏覽器中的檢視憑證來確認憑證已過期,或使用 VCSA 6.5.x、6.7.x 或 vCenter Server 7.0.x、8.0.x 中的 VMware 文章「簽署憑證無效」錯誤在 PSC VCSA 的 CLI 中列出憑證。(76719) 此超連結會帶您前往 Dell Technologies 以外的網站。 
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done

Resolution

對於案例 1,當 vCenter 憑證已過期時,請按照以下程序在 PSC 和 VCSA 上產生新的自我簽署憑證。

 
注意:此程序適用於透過 VxRail LCM 維護的單一 PSC 或 VCSA VM。若為 HA、ELM 或客戶部署的 VC,請開立 VMware 工單!
 
注意:拍攝 VRM、PSC 和 VCSA 的離線快照!
 
注意:檢查快照建立程序是否已完成,沒有發生錯誤!沒有有效的快照,請勿繼續!
 
注意:如果發生問題,請勿在未還原至快照的情況下重試!
 
  1. 修正 PSC:
重設所有憑證 (這會失敗,但這是預期中的作業。)
  • 啟動憑證管理員:     
/usr/lib/vmware-vmca/bin/certificate-manager
  • 選取 選項 8 >:重設所有憑證
    • 確認
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • 輸入登入資料
憑證管理員 - 選項 8
  • 輸入值
    • 將 IPAddress 欄位留空
    • PSC 的 FQDN 格式輸入主機名稱
    • VMCA 名稱欄位是 即將建立的新根 CA 的名稱,例如 VxRail CA。
  • 確認
"Continue operation : Option[Y/N] ?"
  • 確認
"Continue operation : Option[Y/N] ?"
  • 此作業失敗,並傳回:
Get site nameCompleted [Reset Machine SSL Cert...]
g3node-site
Lookup all services
Get service xxxxxx-site:xxxxxxx-d202-4d8f-9282-xxxxxx317b8f
Update service xxxxxx-site:xxxxxxxx-d202-4d8f-9282-xxxxxx317b8f; spec: /tmp/svcspec_a1hipoqq

Status : 0% Completed [Reset operation failed]

please see /var/log/vmware/vmcad/certificate-manager.log for more information.
root@xxxxc [ ~ ]#
 
失敗訊息的螢幕擷取畫面
  1. 修正 STS 問題
 
從 VMware 文章執行指令檔
  • 停止服務
service-control --all --stop
  • 啟動服務 (這會失敗,但這是預期中的作業)
service-control --all --start
停止和啟動服務
  • 等待程序逾時,或在到達 vmware-vmon 服務時停止
/usr/lib/vmware-vmca/bin/certificate-manager
  • 選取 選項 6 > 將解決方案使用者憑證更換成 VMCA 憑證
  • 確認 
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • 輸入登入資料
  • 拒絕 (輸入「N」) 以進行重新設定,因為以上所有選項均已設定
"certool.cfg file exists, Do you wish to reconfigure : Option[Y/N] ?"
  • 確認
"You are going to regenerate Solution User Certificates using VMCA, Continue operation : Option[Y/N] ?"
  • 等待程序結束。此程序:
    • 產生所有憑證
    • 停止服務
    • 啟動服務
產生憑證
  • 確認 是否所有 服務 都在執行中
service-control --all --status
確認服務正在執行中 
  1. 修正 VCSA 上的憑證
停止並啟動所有服務。這 必須在所有 PSC 服務執行 完成!
  • 停止
service-control --all --stop
  • 開始
service-control --all --start
 
在 PSC 執行後停止和啟動服務
  • 等待程序逾時,或在到達 vmware-vmon 服務時停止
/usr/lib/vmware-vmca/bin/certificate-manager
  • 選取 選項 8 >:重設所有憑證
  • 啟動憑證管理員
  • 確認
"Do you wish to generate all certificates using configuration file : Option[Y/N] ?"
  • 輸入登入資料
輸入登入資料,然後選取選項 8
  • 輸入 PSC IP
  • 輸入值
    • 將 IPAddress 欄位留空
    • 輸入 主機名稱 作為 VCSA 的 FQDN
    • VMCA 名稱欄位是 即將建立的新根 CA 的名稱,例如 VxRail CA。
  • 確認
"Continue operation : Option[Y/N] ?"
  • 確認
"Continue operation : Option[Y/N] ?"
 
輸入值並確認繼續操作
  • 等待所有憑證產生,並出現成功完成訊息
"Reset status : 100% Completed [Reset completed successfully]"
重設成功完成訊息
 
重設成功完成訊息續
  • 檢查所有服務是否正在執行中
service-control --all --status
 
確認服務正在執行中
  • 存取 vCenter UI
  • 由於 HSTS,Chrome 中的 DNS 存取失敗。開啟 VCSA IP 或使用其他支援的瀏覽器,例如 FireFox。
Chrome DNS 連線非私有


Chrome IP 連線繼續進行


對於狀況 2,當 vCenter 憑證在 60 天內到期時,請按照以下程序提前更新憑證,以避免 VxRail Manager 與 vCenter 中斷連線。

  1. 以 root 使用者身分,透過 SSH 登入 vCenter
  2. 重新啟動服務
  • 執行 停止
"service-control --stop --all"
  • 執行 「開始」
"service-control --start --all"
  1. 重設所有憑證
  • 執行:
"/usr/lib/vmware-vmca/bin/certificate-manager"
  • 選取 選項 8 >:重設所有憑證
重設所有憑證 (選項 8)
  • 輸入 vSphere 使用者名稱和密碼
輸入 vSphere 使用者與密碼
  • 輸入憑證屬性
輸入憑證屬性
  • 確認操作,然後更新 vCenter 根或機器憑證確認憑證已續訂
  1. 請關注文章 Dell VxRail:如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證,以將更新的 vCenter 和 CA 憑證匯入 VxRail Manager 信任存放區。

Additional Information

  • 在遵循本文之前,請務必先拍攝系統 VM (PSC、VCSA 和 VRM) 的快照。
  • 此程序適用於透過 VxRail LCM 維護的 PSC VCSA VM。
  • 如果使用者擁有來自其基礎結構的憑證,則可以立即將其取代。
  • 修正 VxRail 4.7.100 版及更新版本後,請遵循 KB 文章 Dell VxRail:如何在 VxRail Manager 上手動匯入 vCenter SSL 憑證 ,以將新的根憑證匯入 VRM (附掛程式無法運作)。

Article Properties

Affected Product

VxRail Appliance Family, VxRail Appliance Series

Last Published Date

15 Mar 2024

Version

7

Article Type

Solution

Back to Top